Re: Brutte notizie un po' per tutti i possessori di cpu moderne
Inviato: mer 14 mar 2018, 15:33
se ne e' parlato anche su LQ
Codice: Seleziona tutto
Checking for vulnerabilities on current system
Kernel is Linux 4.15.14 #1 SMP PREEMPT Thu Mar 29 18:25:15 CEST 2018 x86_64
CPU is Intel(R) Core(TM) i3-6100 CPU @ 3.70GHz
Hardware check
* Hardware support (CPU microcode) for mitigation techniques
* Indirect Branch Restricted Speculation (IBRS)
* SPEC_CTRL MSR is available: YES
* CPU indicates IBRS capability: YES (SPEC_CTRL feature bit)
* Indirect Branch Prediction Barrier (IBPB)
* PRED_CMD MSR is available: YES
* CPU indicates IBPB capability: YES (SPEC_CTRL feature bit)
* Single Thread Indirect Branch Predictors (STIBP)
* SPEC_CTRL MSR is available: YES
* CPU indicates STIBP capability: YES
* Enhanced IBRS (IBRS_ALL)
* CPU indicates ARCH_CAPABILITIES MSR availability: NO
* ARCH_CAPABILITIES MSR advertises IBRS_ALL capability: NO
* CPU explicitly indicates not being vulnerable to Meltdown (RDCL_NO): NO
* CPU microcode is known to cause stability problems: YES (model 94 stepping 3 ucode 0xc2)
The microcode your CPU is running on is known to cause instability problems,
such as intempestive reboots or random crashes.
You are advised to either revert to a previous microcode version (that might not have
the mitigations for Spectre), or upgrade to a newer one if available.
* CPU vulnerability to the three speculative execution attacks variants
* Vulnerable to Variant 1: YES
* Vulnerable to Variant 2: YES
* Vulnerable to Variant 3: YES
CVE-2017-5753 [bounds check bypass] aka 'Spectre Variant 1'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel has array_index_mask_nospec: YES (1 occurence(s) found of 64 bits array_index_mask_nospec())
> STATUS: NOT VULNERABLE (Mitigation: __user pointer sanitization)
CVE-2017-5715 [branch target injection] aka 'Spectre Variant 2'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Mitigation 1
* Kernel is compiled with IBRS/IBPB support: NO
* Currently enabled features
* IBRS enabled for Kernel space: NO
* IBRS enabled for User space: NO
* IBPB enabled: NO
* Mitigation 2
* Kernel compiled with retpoline option: YES
* Kernel compiled with a retpoline-aware compiler: YES (kernel reports full retpoline compilation)
* Retpoline enabled: NO
> STATUS: NOT VULNERABLE (Mitigation: Full generic retpoline, IBPB, IBRS_FW)
CVE-2017-5754 [rogue data cache load] aka 'Meltdown' aka 'Variant 3'
* Mitigated according to the /sys interface: YES (kernel confirms that the mitigation is active)
* Kernel supports Page Table Isolation (PTI): YES
* PTI enabled and active: YES
* Running as a Xen PV DomU: NO
> STATUS: NOT VULNERABLE (Mitigation: PTI)È una variante di Spectre per alcune famiglie di CPU Intel recenti. Le contromisure per Spectre dovrebbero avere effetto anche su questa "nuova" vulnerabilità.conraid ha scritto:Ne hanno trovato un altro?
Con il kernel 4.14.47 il programma spectre-meltdown-checker mi da vulnerabile sia alla variante 3a che alla 4ponce ha scritto:si, dovrebbero pero' essere state gia' sistemate nelle ultime release del kernel (al solito come "mitigation", visto che le vulnerabilita' sono dei processori).
di microcode aggiornati per ora non ne ho notizia...
Controlla l'output e vedi se viene menzionato il microcode. Se sì, fai riferimento a quanto detto sopra da ponce.Meskalamdug ha scritto:Con il kernel 4.14.47 il programma spectre-meltdown-checker mi da vulnerabile sia alla variante 3a che alla 4
Vedo questo,rik70 ha scritto:Controlla l'output e vedi se viene menzionato il microcode. Se sì, fai riferimento a quanto detto sopra da ponce.Meskalamdug ha scritto:Con il kernel 4.14.47 il programma spectre-meltdown-checker mi da vulnerabile sia alla variante 3a che alla 4
Codice: Seleziona tutto
TSC_DEADLINE disabled due to Errata; please update microcode to version: 0x20Io uso il sistema consigliato da IntelMeskalamdug ha scritto:Ho aggiornato il microcode e..disastro.
Non partiva il pc dando fs non leggibile,rimosso il microcode e rifatto l'initrd senza microcode il pc parte.
mettendo quell'echo anche in rc.local1. Ensure the existence of /sys/devices/system/cpu/microcode/reload
2. Copy intel-ucode directory to /lib/firmware, overwrite the files in
/lib/firmware/intel-ucode/
3. Write the reload interface to 1 to reload the microcode files, e.g.
echo 1 > /sys/devices/system/cpu/microcode/reload
Se il check fallisce solo sulle varianti 3a e 4a, allora è normale.Meskalamdug ha scritto:Seguendo questo procedimento aggiorna al 0x23 ma il check mi da sempre vulnerable.
Attendiamo fiduciosi, pensavo che il kernel avesse una sua mitigazione a prescindere dal microcode.rik70 ha scritto:Se il check fallisce solo sulle varianti 3a e 4a, allora è normale.Meskalamdug ha scritto:Seguendo questo procedimento aggiorna al 0x23 ma il check mi da sempre vulnerable.
Come si diceva sopra, Intel non ha ancora rilasciato un aggiornamento del microcode, perciò non rimane che aspettare.